Индийский исследователь получил 15 тысяч долларов за взлом Facebook
Добавлено: 24 мар 2016, 17:46
Исследователь Ананд Пракаш из Индии получили премию в 15 тысяч долларов от социальной сети Facebook. Ему удалось обнаружить опаснейшую уязвимость, потенциально позволявшую злоумышленникам завладеть учетной записью любого пользователя. Описанная Пракашем атака основывается на используемом в Facebook механизме смены пароля. Желая изменить его, пользователь должен сообщить администрации свое имя, имя учетной записи, а также адрес электронной почты и номер телефона. На этот номер высылается 6-значный цифровой код, ввод которого и позволяет сменить пароль. Поскольку узнать имя пользователя, его адрес электронной почты и имя аккаунта не составляет труда, этот механизм открывает потенциальную возможность простой атаки путем перебора вариантов цифрового кода (brute force).
Разумеется, в Facebook учли эту опасность, и после 10 попыток ввода неверного кода доступ блокируется. Однако защита распространялась лишь на официальный сайт сети. Между тем существуют и ее страницы для бета-тестировщиков: beta.facebook.com и mbasic.beta.facebook.com. И Ананд Пракаш обнаружил, что на них защитный механизм не распространялся – вводить варианты кода можно было до бесконечности. Таким образом, Пракаш осуществил несколько успешных brute force атак, меняя пароли знакомых, согласившихся помочь ему в эксперименте. Все изменения, сделанные на бета-страницах, распространялись, разумеется, и на главный сайт.
О своей находке исследователь уведомил Facebook еще в конце февраля. Представители социальной сети проверили и подтвердили факт наличия уязвимости, признав ее весьма серьезной. Что наглядно отразилось и в сумме вознаграждения, выплаченного Пракашу. В настоящий момент уязвимость ликвидирована.
Разумеется, в Facebook учли эту опасность, и после 10 попыток ввода неверного кода доступ блокируется. Однако защита распространялась лишь на официальный сайт сети. Между тем существуют и ее страницы для бета-тестировщиков: beta.facebook.com и mbasic.beta.facebook.com. И Ананд Пракаш обнаружил, что на них защитный механизм не распространялся – вводить варианты кода можно было до бесконечности. Таким образом, Пракаш осуществил несколько успешных brute force атак, меняя пароли знакомых, согласившихся помочь ему в эксперименте. Все изменения, сделанные на бета-страницах, распространялись, разумеется, и на главный сайт.
О своей находке исследователь уведомил Facebook еще в конце февраля. Представители социальной сети проверили и подтвердили факт наличия уязвимости, признав ее весьма серьезной. Что наглядно отразилось и в сумме вознаграждения, выплаченного Пракашу. В настоящий момент уязвимость ликвидирована.